Microsoft Sentinel-oplossing configureren voor SAP-toepassingen®

  • Artikel

Notitie

Azure Sentinel heet nu Microsoft Sentinel en deze pagina's worden in de komende weken bijgewerkt. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Dit artikel bevat aanbevolen procedures voor het configureren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®. Het volledige implementatieproces wordt beschreven in een hele reeks artikelen die zijn gekoppeld onder Implementatie mijlpalen.

Belangrijk

Sommige onderdelen van de Microsoft Sentinel-oplossing voor SAP-toepassingen® zijn momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Implementatie van de gegevensverzamelaaragent en -oplossing in Microsoft Sentinel biedt u de mogelijkheid om SAP-systemen te controleren op verdachte activiteiten en bedreigingen te identificeren. Voor de beste resultaten raden best practices voor het uitvoeren van de oplossing echter sterk aan om verschillende aanvullende configuratiestappen uit te voeren die sterk afhankelijk zijn van de SAP-implementatie.

Implementatie-mijlpalen

Volg het implementatietraject van uw SAP-oplossing via deze reeks artikelen:

  1. Implementatie-overzicht

  2. Vereisten voor implementatie

  3. Werken met de oplossing in meerdere werkruimten (PREVIEW)

  4. SAP-omgeving voorbereiden

  5. Controle configureren

  6. De Microsoft Sentinel-oplossing voor SAP-toepassingen® implementeren vanuit de inhoudshub

  7. Gegevensconnectoragent implementeren

  8. Microsoft Sentinel-oplossing configureren voor SAP-toepassingen® (u bent hier)

  9. Optionele implementatiestappen

Volglijsten configureren

De Microsoft Sentinel-oplossing voor de configuratie van SAP-toepassingen® wordt bereikt door klantspecifieke informatie op te geven in de ingerichte volglijsten.

Notitie

Na de eerste implementatie van de oplossing kan het enige tijd duren voordat de volglijsten worden gevuld met gegevens. Als u een volglijst bewerkt en deze leeg is, wacht u enkele minuten en probeert u de volglijst opnieuw te openen om deze te bewerken.

SAP - Volglijst voor systemen

SAP- Volglijst voor systemen definieert welke SAP-systemen aanwezig zijn in de bewaakte omgeving. Geef voor elk systeem de SID op, of het nu een productiesysteem of een ontwikkel-/testomgeving is, evenals een beschrijving. Deze informatie wordt gebruikt door sommige analyseregels, die mogelijk anders reageren als relevante gebeurtenissen worden weergegeven in een ontwikkel- of productiesysteem.

SAP - Watchlist voor netwerken

SAP- Volglijst voor netwerken bevat een overzicht van alle netwerken die door de organisatie worden gebruikt. Het wordt voornamelijk gebruikt om te bepalen of gebruikersaanmeldingen afkomstig zijn uit bekende segmenten van het netwerk, ook als de oorsprong van gebruikersaanmelding onverwacht wordt gewijzigd.

Er zijn een aantal benaderingen voor het documenteren van netwerktopologie. U kunt een breed scala aan adressen definiëren, zoals 172.16.0.0/16, en de naam 'Bedrijfsnetwerk' geven, wat goed genoeg is voor het bijhouden van aanmeldingen van buiten dat bereik. Met een meer gesegmenteerde benadering kunt u echter beter inzicht krijgen in mogelijk atypische activiteiten.

Bijvoorbeeld: definieer de volgende twee segmenten en hun geografische locaties:

Segment Locatie
192.168.10.0/23 West-Europa
10.15.0.0/16 Australië

Microsoft Sentinel kan nu een aanmelding onderscheiden van 192.168.10.15 (in het eerste segment) van een aanmelding van 10.15.2.1 (in het tweede segment) en u waarschuwen als dergelijk gedrag als atypisch wordt geïdentificeerd.

Volglijsten voor gevoelige gegevens

  • SAP - Gevoelige functiemodules
  • SAP - Gevoelige tabellen
  • SAP - Gevoelige ABAP-programma's
  • SAP - Gevoelige transacties

Al deze volglijsten identificeren gevoelige acties of gegevens die kunnen worden uitgevoerd of geopend door gebruikers. Verschillende bekende bewerkingen, tabellen en autorisaties zijn vooraf geconfigureerd in de volglijsten, maar we raden u aan contact op te vragen met het SAP BASIS-team om te bepalen welke bewerkingen, transacties, autorisaties en tabellen als gevoelig worden beschouwd in uw SAP-omgeving.

Volglijsten voor hoofdgegevens van gebruikers

  • SAP - Gevoelige profielen
  • SAP - Gevoelige rollen
  • SAP - Bevoegde gebruikers
  • SAP - Kritieke autorisaties

De Microsoft Sentinel-oplossing voor SAP-toepassingen® maakt gebruik van gebruikershoofdgegevens die zijn verzameld van SAP-systemen om te bepalen welke gebruikers, profielen en rollen als gevoelig moeten worden beschouwd. Sommige voorbeeldgegevens zijn opgenomen in de volglijsten, maar we raden u aan contact op te nemen met het SAP BASIS-team om gevoelige gebruikers, rollen en profielen te identificeren en de volglijsten dienovereenkomstig in te vullen.

Analyseregels inschakelen

Standaard worden alle analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen® geleverd als waarschuwingsregelsjablonen. We raden een gefaseerde benadering aan, waarbij een paar regels worden gemaakt op basis van sjablonen tegelijk, zodat er tijd is om elk scenario te verfijnen. We beschouwen de volgende regels als eenvoudig te implementeren, dus u kunt het beste beginnen met de volgende regels:

  1. Wijziging in gevoelige bevoegde gebruiker
  2. Wijziging van clientconfiguratie
  3. Gevoelige bevoegde gebruikersaanmelding
  4. Gevoelige bevoegde gebruiker brengt een wijziging aan in andere
  5. Wachtwoord wijzigen en aanmelden voor gebruikers met gevoelige bevoegdheden
  6. Functiemodule getest

De opname van specifieke SAP-logboeken in- of uitschakelen

De opname van een specifiek logboek in- of uitschakelen:

  1. Bewerk het bestand systemconfig.json onder /opt/sapcon/SID/ op de VM van de connector.
  2. Zoek in het configuratiebestand het relevante logboek en voer een van de volgende handelingen uit:
    • Wijzig de waarde in om het logboek in te Trueschakelen.
    • Als u het logboek wilt uitschakelen, wijzigt u de waarde in False.

Als u bijvoorbeeld de opname voor de wilt stoppen, wijzigt u de ABAPJobLogwaarde ervan in False:

"abapjoblog": "True",

Bekijk de lijst met beschikbare logboeken in de bestandsreferentie Systemconfig.json.

U kunt ook stoppen met het opnemen van de hoofdgegevenstabellen van de gebruiker.

Notitie

Zodra u een van de logboeken of tabellen stopt, werken de werkmappen en analysequery's die gebruikmaken van dat logboek mogelijk niet meer. Begrijpen welk logboek elke werkmap gebruikt en begrijpen welk logboek elke analyseregel gebruikt.

Logboekopname stoppen en de connector uitschakelen

Voer deze opdracht uit om te stoppen met het opnemen van SAP-logboeken in de Microsoft Sentinel-werkruimte en om de gegevensstroom uit de Docker-container te stoppen:

docker stop sapcon-[SID/agent-name]

Als u wilt stoppen met het opnemen van een specifieke SID voor een container met meerdere SID's, moet u de SID verwijderen van de gebruikersinterface van de connectorpagina in Sentinel. De Docker-container stopt en verzendt geen SAP-logboeken meer naar de Microsoft Sentinel-werkruimte. Hiermee stopt u zowel de opname als facturering voor het SAP-systeem dat is gerelateerd aan de connector.

Als u de Docker-container opnieuw wilt inschakelen, voert u deze opdracht uit:

docker start sapcon-[SID]

Verwijder de gebruikersrol en de optionele CR die op uw ABAP-systeem zijn geïnstalleerd

Als u de gebruikersrol en optionele CR die in uw systeem zijn geïmporteerd, wilt verwijderen, importeert u de verwijderings-CR-NPLK900259 in uw ABAP-systeem.

Volgende stappen

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:

Problemen oplossen:

Referentiebestanden:

Zie Microsoft Sentinel-oplossingen voor meer informatie.